IaaSやPaaSに月平均2200件以上の設定ミス、マカフィーがクラウドのリスクに警笛：AWS S3のうち5.5％が危険な状態

　マカフィーは2018年12月5日、クラウドの採用とリスクに関するレポート「Cloud Adoption and Risk Report 2019」を発表した。同レポートは、匿名化されたクラウド上の数十億のイベントを分析し、クラウドのリスクを明らかにしたもの。

　同レポートによると、調査対象の企業のうち83％がクラウド上に機密データを保存していた。クラウド上で共有されている機密データは2017年に比べて53％増加しており、クラウド上に格納されているデータの21％が機密データだった。クラウドに対するセキュリティ戦略がない企業はデータを危険にさらすことになり、データの盗難や漏えいが生じると企業が危機に直面すると警告している。

クラウド上にある機密データの種類と比率　個人情報（PII）や保健情報（PHI）なども増えている（出典：「Cloud Adoption and Risk Report 2019」）

　さらに同レポートでは、企業が利用しているIaaS（Infrastructure as a Service）やPaaS（Platform as a Service）インスタンスで、セキュリティ上の問題が多く発生している実態も明らかになった。

　例えば、IaaSやPaaSの設定ミス関連のインシデントは一度の運用で平均して14件あり、これは月平均2200件以上の設定ミスが発生していることになる。

　また、企業が利用しているAmazon Web Services（AWS）のファイル共有サービス「S3（Simple Storage Service）」の5.5％では、誰でもアクセス可能な状態になっていた。なお、企業が利用しているIaaSとPaaSのクラウド事業者は、AWSが最も多く、その割合は94％だった。78％はAWSとMicrosoft Azureを併用していた。

　今回の調査では、別の課題も明らかになった。

　外部とファイルを共有するクラウドユーザーや、機密データを一般からアクセス可能なリンク経由で共有しているユーザー、個人に電子メールで機密データを送付した件数は、いずれも2017年に比べて増加していることが分かった。

　具体的には、外部とファイルを共有するクラウドユーザーは2017年に比べて21％増え、全体の22％だった。機密データを一般からアクセス可能なリンク経由で共有しているユーザーは対前年比23％増、個人に電子メールで機密データを送付した件数は同12％増だった。

脅威の原因は2種類

　マカフィーのレポートは、クラウド上のデータに対する脅威の大半が、アカウント侵害と内部脅威に起因していることも明らかにした。

　同レポートによると、企業が利用するクラウド上で生成されるイベント数は、月平均32億件を超える。そのうち、異常イベントは3217件、実質的な脅威イベントは31.3件だった。こうしたアカウント侵害や、特権ユーザーまたは内部脅威などのクラウド上の脅威は、2017年に比べて27.7％増えている。

1カ月当たりの異常イベントと脅威イベントの数（出典：「Cloud Adoption and Risk Report 2019」）

　そして、調査対象とした企業の80％で少なくとも毎月1件のアカウント侵害が発生しており、対象企業の92％ではクラウドの認証情報が盗まれてダークWeb上で販売されていることも明らかになった。Office 365での脅威も、2017年に比べて63％増加しているという。

　今回のレポートを公表するに当たってマカフィーは次のように注意を促している。

• クラウドサービス事業者はクラウドそのもののセキュリティについては責任を負うが、顧客のデータや顧客のインフラ、プラットフォームは「利用者が責任を負う」必要があり、クラウド全般のセキュリティソリューションが必要だ
• アカウント侵害や内部脅威に備えるには、クラウドサービスがどのように利用されているかを把握し、同じユーザーが同時に複数の異なった場所からアクセスするなど、アカウントの不正利用の恐れがある異常なイベントの特定も必要だ